Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 9. Juli 2026: Authentifizierungs-Umgehung in miniOrange OTP, Datei-Upload in Blocksy Companion Pro, Plugin-Installation per CSRF in Divi Torque und Konto-Übernahme in Divi Form Builder

9. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 9. Juli 2026 bringt eine große Zahl von Plugin-Lücken. Wir greifen vier besonders wirkungsstarke heraus — für alle liegt bereits eine Korrektur vor.

CVE-2026-14245 — Authentifizierungs-Umgehung in miniOrange OTP (kritisch)

Ausgerechnet im Anmelde- und Bestätigungs-Plugin miniOrange OTP Login, Verification and SMS Notifications besteht in allen Versionen bis einschließlich 5.5.1 eine ohne Anmeldung ausnutzbare Authentifizierungs-Umgehung. Der Handler für das Zurücksetzen von Passwörtern über Ultimate Member prüft nicht serverseitig, ob der OTP-Schritt tatsächlich abgeschlossen wurde: Er vertraut einem Sicherheits-Token, das das Plugin auch unauthentifizierten Besuchern ausliefert, und übernimmt einen vom Angreifer gewählten Benutzernamen aus dem Parameter username_b. Da weder das Einmalpasswort noch die Ziel-Identität an eine geprüfte Anfrage gebunden sind, lässt sich der Ablauf für jedes Konto anstoßen. Ein Angreifer ohne Benutzerkonto kann so für einen beliebigen Nutzer — auch einen Administrator — einen gültigen Zurücksetz-Link erzeugen, ein neues Passwort setzen und die Kontrolle über das Konto und damit die gesamte Website übernehmen. Ausnutzbar ist die Lücke nur, wenn das Ultimate-Member-Zusatzmodul zum Passwort-Zurücksetzen aktiv und nicht auf reines Telefon-Zurücksetzen konfiguriert ist. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit Version 5.5.2, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-14245 · miniOrange OTP — Plugin-Verzeichnis

CVE-2026-15158 — Datei-Upload mit Codeausführung in Blocksy Companion Pro (kritisch)

Im kostenpflichtigen Erweiterungs-Plugin Blocksy Companion Pro besteht in allen Versionen bis einschließlich 2.1.46 ein ohne Anmeldung ausnutzbarer Datei-Upload. Das Zusatzmodul für eigene Schriftarten entscheidet über die Zulässigkeit einer hochgeladenen Datei, indem es lediglich prüft, ob der Dateiname die Zeichenketten „.woff2” oder „.ttf” enthält, statt die tatsächliche Endung zu bestimmen. Weil es sich nur um eine Teilzeichenketten-Prüfung handelt, besteht ein Name mit doppelter Endung wie shell.woff2.php die Schriftart-Prüfung, während die echte Endung .php bleibt — die Datei wird gespeichert. Ein Angreifer kann so ohne Anmeldung eine ausführbare PHP-Datei ablegen, anschließend aufrufen und damit beliebigen Code ausführen, was zur vollständigen Übernahme von Website und Server führt. Der verwundbare Pfad ist nur erreichbar, wenn das Pro-Plugin mit dem Schriftart-Modul und der WooCommerce-Erweiterung für „Advanced Reviews” betrieben wird; die kostenlose Basis-Version Blocksy Companion (über 200.000 Installationen) ist nicht betroffen. Die National Vulnerability Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434 (unbeschränkter Upload gefährlicher Dateitypen) zu. Behoben ist die Schwachstelle mit Version 2.1.47, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-15158

CVE-2026-4275 — Plugin-Installation per CSRF in Divi Torque Lite (hoch)

Im Erweiterungs-Plugin Divi Torque Lite für den Divi-Builder besteht in allen Versionen bis einschließlich 4.2.3 eine Schwachstelle vom Typ Cross-Site Request Forgery (CSRF). Das Plugin registriert seine Schnittstellen zum Installieren und Aktivieren von Plugins mit einer Berechtigungs-Prüfung, die stets „wahr” zurückgibt (__return_true), sodass die Endpunkte weder eine Rechteprüfung noch eine Absicherung gegen gefälschte Anfragen durchführen. Ein Angreifer kann daher eine Anfrage vorbereiten, die der Browser eines angemeldeten Administrators mitsamt dessen Sitzungs-Cookie absendet, sobald dieser eine präparierte Seite öffnet. Auf diese Weise lässt sich ein beliebiges Plugin aus dem WordPress.org-Verzeichnis installieren und aktivieren — und über ein vom Angreifer gewähltes Plugin unmittelbar eigener PHP-Code ausführen, was der vollständigen Übernahme der Website gleichkommt. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-352 (Cross-Site Request Forgery) zu. Behoben ist die Schwachstelle mit Version 4.2.4, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-4275 · Divi Torque — Plugin-Verzeichnis

CVE-2026-5523 — Konto-Übernahme in Divi Form Builder (hoch)

Im Formular-Plugin Divi Form Builder besteht in allen Versionen bis einschließlich 5.1.8 eine fehlende Eigentümer-Prüfung im Ablauf zur Benutzer-Registrierung. Die Routine zum Aktualisieren eines Kontos (update_user()) übernimmt eine vom Aufrufer übermittelte Ziel-Benutzerkennung aus den Formulardaten, statt die Änderung auf das eigene Konto der aktuellen Sitzung zu begrenzen; die übergeordnete Prüfung stellt lediglich fest, ob überhaupt ein Nutzer angemeldet ist, nicht aber, ob dieser das referenzierte Konto bearbeiten darf. Weil das Zielkonto über einen vom Nutzer kontrollierten Schlüssel gewählt wird, kann die Anfrage jedes bestehende Konto benennen — auch das eines Administrators. Ein angemeldeter Nutzer mit bloßen Abonnenten-Rechten kann so E-Mail-Adresse und Passwort eines beliebigen anderen Kontos überschreiben; das Zurücksetzen der Administrator- Zugangsdaten verschafft dem Angreifer einen vollwertigen Administrator-Zugang, was der vollständigen Übernahme der Website gleichkommt. Die National Vulnerability Database vergibt einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-639 (Autorisierungs-Umgehung über einen nutzerkontrollierten Schlüssel) zu. Behoben ist die Schwachstelle mit Version 5.1.9, auf die Betreiber unverzüglich aktualisieren sollten.

Quellen: National Vulnerability Database — CVE-2026-5523

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.